標的型攻撃メール訓練「ITセキュリティ予防接種」

「ITセキュリティ予防接種」は、既存のセキュリティ対策では発見が困難な標的型メール攻撃に対して、疑似的なメール攻撃を社員へ送付し、実施する体験学習型の教育プログラムです。
標的型メールを社員が体験することで的確な知識と判断能力が身に付き、標的型攻撃の発見の確立を高め、事故が発生した際の被害や、メールに添付されてくるウイルスへの感染リスクを最小限にとどめることが可能なサービスです。

動画において、標的型攻撃メールの実態、ITセキュリティ予防接種の目的、サービス実施フローや実施後の社員の行動分析などをご紹介しています。

ITセキュリティ予防接種サービスのご紹介を動画で配信中

ITセキュリティ予防接種の概要

昨今、特定組織を狙い撃ちにして、技術情報や顧客情報、蓄積されたノウハウまでを盗み出す標的型メール攻撃を使ったサイバー産業スパイ行為による情報流出が増加しています。標的型メールは、「人事部からの評価制度の案内」や「取引先からの連絡」など、当事者しか知り得ないメール文面で送られてきます。このように巧妙に欺くように仕組まれているため、不審なメールとの判別が難しく、ウイルス対策などの従来のセキュリティ対策で防ぐことも困難です。当社の調査では、このような標的型メールを受信してわずか30分で組織の半数以上の社員がウイルスを含む添付ファイルを開封していることが判明しています。メールの送受信という通常のやり取りを装うことから、標的型メール攻撃を受けた事実の確認すらできず、企業にとっての「見えない」リスクとなっています。

「ITセキュリティ予防接種」は、不審なメールに対して情報セキュリティ意識が低く無防備な社員を特定することを目的とした教育プログラムではありません。標的型メール攻撃を受けた際に最も重要なのは、まず少しでも怪しい、危険だと感じた場合にそれをむやみに開封しないこと、事故が起きなくとも怪しいメールを受け取った事実を迅速に危機管理部署への報告がなされることにあります。また、管理部門においては、適切な初動対応が組織内部で行われるかどうかを確認することも重要です。
事故を前提にした疑似標的型メール攻撃の体験を行うITセキュリティ予防接種の実施により、社員一人一人の理解度の向上による感染予防が実現すること、万が一感染や異変が生じた際の適切な対応方法の理解が促進されることなどの効果が得られます。

特長

サービス内容

  1. お客様と綿密に実施手順のすり合わせを行います。同時に、お客様組織内部にむけて事前に標的型メール攻撃に関する注意喚起や集合教育を実施します。
  2. 数週間後、第1回目の疑似メール攻撃を実施します。攻撃後には、訓練実施の種明かしを行います。
  3. 数か月の期間を置き、第2回目の疑似メール攻撃を実施します。終了後、被験者アンケートの実施と、第2回目の訓練実施についても種明かしを行います。
  4. 全2回の訓練結果とアンケート内容を集計したご報告書を差し上げます。2回目の疑似攻撃では、大きくその開封率が減少し、情報セキュリティへの理解が高まっていることを視覚的に確認できます。

価格

※価格については、弊社営業担当までお問い合わせください。

お問い合わせ

『ITセキュリティ予防接種』に関するお問い合わせは、こちらのフォームよりお問い合わせください。
お電話でのお問い合わせは、03-6757-0113(営業時間 平日9:00~17:30)まで。

ITセキュリティ予防接種とは

2011年6月14日、ラックより新しい概念のセキュリティサービスが発表されました。 『ITセキュリティ予防接種』と名付けられたこのサービスは、およそIT関連のサービスとは思えない風変わりな名前であるとともに、それがどのような効果を持つサービスなのか。 このサービスを一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)とともに開発し、すでに20社以上の顧客に対して本サービスを実施した経験を持つキーマンの川崎基夫に、このユニークな名前を持つサービスの価値をインタビューしました。


予防接種とはなにか。

― ITセキュリティ予防接種がようやく発表されましたね。川崎さんは随分前からこのサービスに携わっていたとのことですが、これはどういうサービスなのでしょうか?

川崎 このサービスは、JPCERT/CC 様と一緒に、企画の立案から実施をしてきました。ウイルス対策ソフトや侵入検知システムというのは、基本的にすでに発見されている不正プログラムや攻撃手法で攻撃されたことを、発見するためのソリューションなわけですよね。最近急激に知られ始めた”標的型の攻撃”というのは、ある企業に特化したウイルスや関係者しか知らないメール文面などを使って攻撃をしてくるのです。そのため、既知のウイルスや既知の攻撃を探し出す、ウイルス対策ソフトやIPS/IDSなどでは防ぐことができないことが多いのです。これはセキュリティ業界では広く知られた事実です。しかし、セキュリティ業界以外ではこの事実がしっかりと認識されていない。これをなんとか、少しでも理解してもらい、標的型攻撃による被害を減らしたいという思いで考えたのが、この「ITセキュリティ予防接種」なんです。

― なるほど。なぜITセキュリティ予防接種では標的型の攻撃を防げるのですか?

川崎 皆さんは子供のころから、いろいろな病気の予防接種を当たり前に行っていますね。これは、体の中に極力無害化した病原菌を侵入させ、耐性を高めると言ういわば健康のためのソリューションです。考え方はこれと同じです。ラックから無害化した標的型メール攻撃をお客様に対して行わせていただき、訓練の実施後に社員の方に種明かしすることで、実際に攻撃を体感してもらいます。一度体感した攻撃の形態は、一つの免疫として人間の判断ルーチンに組み込まれます。これにより人間の意識を劇的に変える効果を持つソリューションが、「ITセキュリティ予防接種」なんです。

― 人間の意識を変えてしまうのですか!? 確かに座学だけではセキュリティに対する意識を大きく変えられませんよね。ところで、「ITセキュリティ予防接種」という名前はどなたが付けたのでしょう?

川崎 私です、というのは冗談で、JPCERT/CCのご担当者が、海外ですでに行われていた予防接種と同種のサービスを教えてくれました。このサービス名が、Inoculation(イノキュレーション)、つまり「予防接種」だったのです。

― 海外でも同じようなサービスがあるのですね! 海外では安全対策への意識が高そうですね。このサービスを日本で展開した理由はあるのでしょうか?

川崎 昔から、この種のセキュリティ対策は実施されていて、ネットワーク侵入を試してもらうとか、War Dialing(ウォー・ダイアリング)といって会社のリモートアクセス用の電話回線を探したりするようなことは行われていました。これらはすべてIT関係者向けのものでした。しかし、実際ITを使うのはほとんどがIT関係者ではなく、普通の社員の方々ですし、標的にされるのもそうした社員の方々です。私はこのギャップを埋められる対策を提供したいと考えていました。 たとえば、火災の避難訓練などはまさに社員への防災意識を高めるために行うものですよね。私はこうした防災訓練の様な形のサービスを一つの目標にしていたのです。

― 確かに、防災訓練は重要ですね。訓練というと堅いイメージですが、予防接種に名前を変えるとそれはそれで子供のころの嫌な記憶が呼び覚まされますね(笑)

川崎 はい、まあ、大人なので注射が怖くてダダをこねることはないでしょう(笑)

― 実際にサービスを受けたお客様のお話を伺いたいと思います。実施結果として一体どのような成果が出るのでしょう?

川崎 これが面白くて、実はこのサービスはいくつか特徴的な傾向があるのです。?まず、このサービスを体験いただくことで、セキュリティ対策やセキュリティ意識の改革に関しての高い効果が得られます。加えて、数ヶ月継続的にITセキュリティ予防接種を行うことで、7割程の社員の方々が引っかかっていた標的型攻撃を、2割程度まで減少させることができたのです。2割までリスクが減れば大きなリスク軽減の効果といえますよね。加えて、コールセンターや管理部門、取締役などの標的型攻撃の対象になりやすい方々でこの効果が出ており、しかも実施後1年2年と経過しても、効果があまり落ちていません。人間の感性に植え付けられた注意・判断能力って、非常に優れたものだと感じます。 また、このサービスはITに関係する方ではなく総務系、社長や取締役といった経営スタッフにファンが多いのです。取締役などがITを使った教育に参加をし、一般の社員と同じ目線で語り合う機会が少ないからなんでしょうね。なにしろ、数年連続で受けていただいている企業様からは、早く次のバリエーションを作れとお叱りをうけています。

― 「もっと多様に攻撃しろ」とお客様に叱られるのですか?

もちろん良い意味で、です。上層部の方がファンになってくれて、総務部やIT部門の方と一緒に予防接種をしていると、どうしてもある程度皆さん理解をしてくれて、問題が出なくなってくる。そうすると急に自信が出てきて、もっと挑戦してこい!そんな前向きな姿勢になってくれるんですよ。


予防接種の効果とは。

― では、IT部門の方の反応はいかがでしょう?

川崎 IT部門の方とも非常に良い関係が維持できています。ITの中でもセキュリティというのは、コストを消費したり、安全になると逆に効果が目立たなくなってしまったりと、評価が大変難しいのです。しかし、「ITによる対策だけでは防ぐことができないんだ」という事実が社内で理解されることで、逆に目標が見えてくるというか、従来のセキュリティ対策で足りない部分が見えてきます。企業の上層部から問題意識が湧き上がるのですから、その後のリスクコミュニケーションも部署間を超えて認識が近くなっているため楽になります。予防接種を行ってみて、他のセキュリティ対策にも前向きな評価をもらえた、という担当の方もいらっしゃいます。

― すでに完成されたサービスに見えますが、今後の展開に何かお考えはあるのですか?

川崎 もちろんです。さすがに企業秘密なのでどう機能アップするかはお伝えできませんが、犯罪者の手口も巧妙になっていますので、疑似攻撃の方法はいろいろと考えていきますよ。より狡猾に、IT以外の手法なども取り入れたいと思っています。

― これまでこのサービスを提供してきて、どんな苦労がありました?

川崎 予防接種は、ある意味お客様に対するショック療法とも捉えることが出来ます。疑似攻撃ですので、社内に対して無害ではありますが、免疫をつけるための攻撃メールを送る行為をするわけですから……?そうすると、社員の方から不満や怒りの声が実施部門へのクレームとして出てくることがあります。一度は、実際の攻撃と間違えられて警察に報告されそうになったこともあります。ただ、こうした大変な出来事の経験と試行錯誤を繰り返して、お客様から怒りや不満が出ないような仕組みを作り上げることに尽力してきました。今では事前のご説明やサービスの仕様を改善したことでこうしたケースは全くありません。病院で行うインフォームドコンセントに近いイメージですね。 そして何より、これが重要なのですが、予防接種サービスは、「標的型メール攻撃に耐性の低い個人を特定する」ことを目的としたサービスではないということをお伝えしています。少しでも怪しい、危険だと感じた場合に、「迅速な危機管理部署への報告と、適切な初動対応が組織内部で行われるかどうかを確認することが最も重要」とするコンセプトに基づいております。みなさんも風邪をひかないことはできませんよね。予防接種サービスは「ウイルス感染は良くない」との前提ではなく「攻撃はいつでも起こりうる」「ウイルスに感染しても迅速な対応を促す」との前提に立った対策として、組織に所属する人間の感染予防、及び感染後の適切な対応を促すきっかけや、その能力を向上させることが目的の一つなのです。 今では、「攻撃して終了、結果はこうでした。」ではなく、実施後のお客様へのケアやセキュリティリスクに対する考え方のサポートにも力をおくようにしているので、予防接種を実施するまでの手間は少し増えてしまいました。

― 本当の意味で、セキュリティに対する意識を変えていくサポートをするサービスというわけですね。このサービスを提供してきて、どんなうれしいことがありましたか?

川崎 お客様から教育効果が目に見える形で提供できるので、本当に良いお言葉をいただけています。ITのセキュリティというと、どうしても殺伐とした雰囲気がでてしまいます。予防接種はコントロールできる危機を「疑似体験」するものなので、お客様も私たちも実施結果に強い興味をもつことが出来ます。 あるお客様は、このサービスを受けるために、私を指名して相談をいただくことがあります。たとえ疑似体験だったとしても、危機対応を通じたコミュニケーションが活発になる傾向は、信頼いただいている ことが伝わって来るためうれしいですね。

― 素敵ですよね! いよいよ本格的に展開が始まったITセキュリティ予防接種ですが、どの様な企業に、どの様な考えで導入してほしいですか?

川崎 今は標的型攻撃の脅威が本当に高まっている状況です。ですので、ぜひ大手企業様、国際展開を行うグローバルな企業様、オンリーワンの技術を持っている企業様などに、予防接種でITと同時に人間のセキュリティ対応も進めてほしいと思っています。

― すでに問い合わせが入っているようですが?

川崎 最近のセキュリティ事例に関して実施した緊急対策セミナーで、大手企業が狙われやすい標的型攻撃の対策としてこのサービスを数分ご紹介させていただきました。結果としては、セミナーに参加いただいた約6割のお客様がこのサービスの詳細を知りたいと言ってくださいました。私も驚きましたが、真剣にセキュリティ対策を考えると、組織における人間教育は最重要課題ですからね。改めて、このサービスのニーズが高いことを感じました。

― これからこのサービスを検討される方に、何か一言いただけますか。

川崎 セキュリティ対策ということで、眉間にしわを寄せて導入を検討されていらっしゃると思いますが、ぜひゲームをするような感覚でいていただければ、きっと満足していただけることとおもいます。 ITのセキュリティ対策は、結局のところ利用する方も含めて活用する組織全体で推進するものです。まさに自動車の運転と同じように、利用者のモラルにより危険性の大きさが変わってきます。 ITを安全かつ継続的にご利用いただくため、ぜひ「ITセキュリティ予防接種」で社員の意識改革と、その教育効果を体験してください。

― 川崎さん、ありがとうございました。


【ご参考】JPCERT/CC 様で実施した予防接種サービスの実施レポート

2011-03-24 ITセキュリティ予防接種調査報告書 2009年度

https://www.jpcert.or.jp/research/2011/inoculation20110309.pdf

2011-01-21 Research Report on IT Security Inoculation(2009年度報告書英語版)

https://www.jpcert.or.jp/english/pub/2011/inoculation-20110121.pdf

2009-06-19 IT セキュリティ予防接種実施調査報告書

https://www.jpcert.or.jp/research/2009/inoculation_20090619.pdf

2008-09-17 標的型攻撃についての調査

https://www.jpcert.or.jp/research/2007/targeted_attack.pdf


お問い合わせ

『ITセキュリティ予防接種』に関するお問い合わせは、こちらのフォームよりお問い合わせください。
お電話でのお問い合わせは、03-6757-0113(営業時間 平日9:00~17:30)まで。

戻る

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ